Kan man se på vilken dator en exe-fil är kompilerad på?

Jag skulle vilja spåra en dator eller visual-studio installation som ett program är kompilerat på.

Är det möjligt? Jag har bara själva exe-filen. Om jag öppnar filen med notepad så kan jag se sökvägen till vart själva projektet men det räcker inte.

Det handlar om visual studio 2013 och framework är 4.0

Kan ej svara för alla möjlga varianter av denna kompilatorinstallation, och tex lib versioner mm, har ej grottat ner mig heller i exe-filernas innehåll, tex rent teoretiskt skulle det kunna finnas info om den är kompilerad på tex en studentlicens eller akademisk licens eller en företagslicens, Åtminstone en del programvaruleverantörer har antytt att sådan info ska läggas in, men det kan man ju inte vara 100 på heller...

Men:
- Troligen går det inte, eftersom man i Windows kan lägga till ta bort användare mm, så kan den aktuella sökvägen vara inaktuell,
den sökvägen kan också fejkas om man nu så önskar om man nu har ett sådant intresse,

Som menas med en exe är att den kan skapas på samma sätt om installationerna av kompilator--länkar-sviten på varsin fysisk maskin är identiska byte by byte så ska de resulterande exena bli identiska, bortsett ifrån tex tidsstämpeln,

Dock om du har tillgång till de fysiska maskinerna så kan du kontrollera tex tidsstämplarna på korresponderande precompiled headers, obj files osv ifall filerna finns kvar.

Om deras korresponderande hårddiskarna är raderade/överskrivna med någon random-write programvara i flera cykler så är den informationen borta.

Det beror på om programmet lämnat något spår i registret på ursprungsdatorn.
Då kan du ju söka i registret efter programnamnet med regedit.

Men med mindre än att personen i fråga fyllt i en manifestfil kommer du inte hitta något vad jag vet. Men ladda ner pestudio från:

https://winitor.com/binaries.html

Och se efter vad du kan finna i filen.
Lycka till.

Inget dumt svar, faktiskt bra, kom ju att tänka på om programmet är en debugrelease dvs det finns debug info i den så kan man se mycket mera intressant.

Har du dock inte tillgång till den aktuella fysiska datorn med någorlunda intakt katalogstruktur som du misstänker har använts så är det mycket svårt skulle jag tro.

Man kan ju å andra sidan teoretiskt välja ut tex en bytesekvens ur programmet och leta efter samma bytesekvens på de aktuella fysiska datorn, och hittas den i tex ett raderat segment så är det ju ganska uppenbart att exen har befunnit sig på den aktuella datorn

Om den dock har överskrivits med random data är detta mycket svårt, möjligen FBI och liknande skulle kunna försöka hitta något, osäkert om de verkligen kan göra detta.

Det går att göra som du säger helt klart.
Men det finns ju gratisprogram som CCleaner där du kan skriva över allt fritt utrymme på bitenivå i varje fritt cluster n antal gånger och då hittar inte du ett skit med mindre än att ett dataforensiskt labb får analysera din HD.

Det finns lite mer saker man kan göra med och det är att gå igenom som Swapfile.sys, Pagefile.sys, och Hiberfil.sys för att se efter om det finns några rester kvar där. Har inte hållit mig uppdaterad på senare tid hur Win 7, 8 och 10 hanterar dessa filer och ifall de flushar dem vid avstängning mm men tidigare kunde du i alla fall hitta spår av vilka program som körts, i swapfilerna.

Du har systemloggar som du kan titta på då jag tvivlar på att programskapandet inte producerat en bugg som gett upphov till ett felmeddelande/programkrash osv. Ett mycket vanligt misstag är att folk glömmer radera dessa loggar som ger en svart på vitt att systemutvecklingen skett på den datorn.

Så det finns en del du kan göra ytterligare men då måste du fysiskt ha kontroll över datorn och plocka ut HDn som när du skall gå igenom ovan sysfiler och köra kollen från en annan dator så inte Windowssystemet lägger beslag på dessa filer. Så det är lite knepigare.

Det finns en del du kunnat göra tidigare men det var ett tag sedan jag höll på med sådana saker och har nog glömt bort massor och jag vet inte med säkerhet hur det ser ut idag, man kan inte hänga med på allt, eller ens vara i närheten av det idag.

Ja, fast denna process är ganska långsam, det tar typ flera timmar att skriva över en stor magnetisk hårddisk med random bytes n ggr. Det är inte vanligt med folk som gör sådant.

I teorin så kan ju en dataforensiker leta efter magnetiska skuggkopior inne på disken, men utfallet är väl högst osäkert skulle jag tro. På en SSD-disk så finns inga "skuggkopior" vad jag känner till, är de överskrivna så är de...


Det finns inget som heter snabbradering i datorvärlden såvida man inte stoppar in disken i en mikrovågsugn, eller typ smäller av en atombomb i närheten, eller har en jävligt kraftig röntgenmaskin eller typ en kobolt-60 strålkälla. Eller kopplar ett svetsaggregat till disken och tvingar igenom en typ 400 Ampere ström ? Därmed nås den sk Curie-temperaturen snabbt och "dödar" alla bits.

Vill man radera något på en disk så får man allt skriva byte by byte. Nej såvitt jag förstår så raderas inte dessa filer på dess innehåll, det skulle annars ta ansenlig tid varje gång den stängdes av. Det är dock länge sedan sist jag tittade inne i sådana filer, men om de är stora man kan hitta segment som är flera månader gammalt, eftersom Windows optimerar tillgängligt RAM på ett sådant sätt.


Ja det är ju en snillrik insikt, systemloggen är ju i de flesta fall alltid påslagen, och varenda konstigheter finns noterade, både tidsstämpel och i flera fall fler detaljer om buggen finns där.

Dessutom så skapar ju Windows en skuggkopia av registret som man kan kolla i, och det finns också själva funktionen systemåterställning som kan berätta om vad som har funnits inne i datorn förut.


Det är ju ett absolut krav att man gör på det sättet om man nu ska vara petimeter-noga, Man kan ju klona disken emot en stor SSD-disk så att man snabbt kan söka av disken emot en bytesekvens som du vet är unik för det utvecklade programmet. Men om programmet redan finns där så är det ju inte ett rakt 1:1 bevis för att själva utvecklingen skett just där. Inntressant nog så skulle man ju kunna söka efter källkodsfiler eftersom de alltid har strängen #include i sig

Förresten så kom jag till att tänka på att det var förr en strid mellan Borland och Microsoft gällande vad som skulle få finnas i en exe. Microsoft ville att licensinformationen (licensen för kompilatorn) skulle ligga inne i exen, så att varje exe skapad av MSofts kompilator skulle kunna kontrolleras av MSoft, tex om det var en studentlicens eller företagslicens.

Så tyckte dock inte Borland att det skulle vara, de menade att källkoden var det viktiga och att den var det huvudsakliga "intellektuella kapitalet". En källkod kunde inte göras "värdelös" genom att påstå att den var utvecklad på "fel kompilator". Borland fick opinionen med sig och så blev det då.

Det fanns ett tidigare rättsfall i USA om kompilatorer och vad som kan kallas vara "intellectual property" dvs källkod, parterna var tror jag IBM och ett Universitet, IBM förlorade

Huruvida det är detsamma idag med vilken info som finns inne i exen, det vet jag inte.

Jag läste/hörde vid något tillfälle att ett Norskt företag som sysslar med just sådant kan plocka ut info från ett skivminne som skrivits över ett stort antal gånger.
Hur det står till med SSD har jag noll pejl på.

De dagar när man började med att läsa http://www.tomshardware.com/ som sin första nyhetskälla för dagen är sedan länge förbi...
Går bra att köra dem genom en metallkvarn med då kommer HDn ut som "metallsand" i andra ändan. Skrotar du en 100 HDar så kan ju intresserad sitta i andra ändan och samla ihop smulorna som kommer ut med min varma välsignelse och ägna sitt och barnbarnens resterande liv till att försöka plocka ihop det pusslet... Eller gäller det privat är det bara att ta en stor vinkelslip och skapa "tomtebloss" av hela skiten.
Jo det finns en del metoder man kan nyttja som ofta mången god hackare även på hög nivå missar att sopa igen spåren efter sig ur.
Sant, har man tur använder de ju sina egna bibliotek.
Du har ju minst två hashgenererade värden som ligger i exefilen vad jag vet, om MS på något sätt kan läsa av info ur dessa vet jag ej.

Det är ju det som gör det så viktigt att det finns konkurrens inom informationsteknologiområdet. Hade man låtit Bill bestämma allt hade hela världen nu endast kunnat köra datorer med program endast fungerade på VB källkod. Allt vi skrev och producerade hade vi varit tvungen att delge MS och betala dyra licenser för.

Med molntjänster, hyra programvara per månad och Windows felrapportering och oklar tillgång till datorerna och dess mjukvara när de är uppkopplade är vi ju nästan redan där...

Och folk undrar varför jag alltid har haft en dator som är helt frånkopplad från nätet och trådlöst med allt av vikt på här hemma...

Ja det är ju IBas i Norge som håller på med sådant, huruvida det verkligen går att se en skuggkopia, det vet jag inte, Iallafall så finns det ju en intressant parallell till detta i form av kuppen emot VC Värdepapperscentralen (1980-talet någonting ?) , där kunde man utröna vilken bandmaskin som hade använts till att manipulera magnetbandet, just genom att bandhuvudet hade någon slags defekt.

Jag har för mig att man gjorde en mängd försök med olika maskiner och jämförde dem.

SSD-s kan dock inte behålla någon slags "skugga" annat än att ett segment blir betecknat som "opålitligt" och därmed hamnar i arean för dåliga sektorer.


Nästa gång man ska på magnetröntgen på sjukan och kolla sin foliehatt kan man ju ta med sig disken som behöver förstöras, hehe jag tror det borde vara effektivt ?

Fast termit torde väl väl vara bland de allra bästa skulle jag tro ?


Nej, jag vet inte heller, kanske ngt med felrapportering ifall en exception inträffat ? Dock vet jag att somliga programvaruleverantörer hade velat haft en slags rapporteringsfunktion ifrån MSoft om hur mycket ett av deras egna program kördes, dvs ngn slags körinfo. Men Msoft då svarade att det får programtillverkaren själv stå för med rapportering till egna servrar.



Ja, det kunde ju varit ännu värre, Windows inte blivit uppfunnit, inte VB heller, och vi fortfarande körde QBasic, medans Bill Gates simmar i pengar. Och man blivit glad över att ha lite pengar till övers för att se att gorillan kunde kasta bananen varje dag

IBM körde ju den metoden på stordatordatortiden (mainframes) med att licensiera ut både hårdvara, OS, kompilatorer, manualer för allting plus ett "påstått ägande" utav all kod som producerats på deras maskiner. Och det blev ju dyrt, väldigt dyrt. För de företag/myndigheter som hade ett exakt förutsägbart behov så var det inte så blodigt kanske, bara att budgetera för detta. Men för de som sysslade med forskningsverksamhet osv så var det mindre roligt - de kunde känna sig uppskörtade av den betalningsmodellen, eftersom behovskraven varierade väldigt mycket. Även över tid mm.

Någon på IBM räknade dock ut att en PC skulle vara en bra produkt för man räknade med att de flesta företag skulle vinna i arbetstid om de anställda själva kunde författa PMs, brev osv på PCs, istället för att belamra sekreterarna med detta

Unix kom som en motreaktion på detta sätt att ta betalt, men också på grund av att kretsarna blev billigare och robustare. Tack vare att också Japanerna själva höll på med sådant så mycket då på den tiden.

Akademikerna bakom Unix ville ha ett operativsystem som man hade källkoden för och som var förutsägbart, Istället för som hos IBM där man var tvungen att kontakta supporten för att berätta vad som hade gått fel, och ibland blev det flera dagars väntetid mm.

Bill Gates tror jag räknade ut tidigt att en prismodell enligt IBM skulle bli en alltför stor administrativ sektion inom MSoft, en kostnad som han skulle ha även om MSofts försäljning började gå dåligt.

Din invändning är på sätt och vis riktig, Om TS inte har den fysiska maskinen i sin ägo så är nog uppgiften omöjlig skulle jag tro.

Det behövs alltså tillgång till den fysiska maskinen för att kunna analysera innehållet på ett sådant sätt att man kan svara på frågan eller inte.

Om användaren har raderat den på de mest avancerade vis så är svaret givet - att det går inte att visa att maskinen har använts för uppdraget.

Så är det säkert.

Säg vad fan inte programvaruföretagen vill veta om användarna idag?
Du måste ju på var och var annan sida uppge ditt e-mail och är det g-mail som vill ha ditt telefonnummer eller var det MS så de kan skicka e-mail recovery med SMS?
Att det direkt svart på vitt knyter dig till en epost-adress och ett IP-nummer verkar inte ha förespeglat varit deras avsikter ens så mycket att de gav en varning om att så var fallet...
Vet i fasiken om Windows är så mycket att hurra för.
Trivdes bra på den tiden då man körde det som behövdes köras med Norton Commander och hade batch-filer som skötte allt det övriga. Programmen var några MB på sin höjd oftast på några 100 kB. Kör fortfarande en gammal SunOS/Solaris med liknande konfigurering som endast startas om vid strömavbrott typ. Det är den stabilaste maskinen jag äger, tror aldrig den gått ner...

Joo, alla dessa licenser är en jävla soppa att hålla reda på och har blivit en kassako för programföretagen idag. Fattar inte varför inte stat och kommun mm inte gått över till open software som Open Office mm så de slipper bli jagade av licensjägare. Vi skippade allt vad som hette MS på kontorssidan och gick helt över till Open Office.
Vi sparade hur mycket pengar som helst på det.

Men det är långt ifrån trådämnet så jag slutar där.

Ja jag tror att den första hette Norton Commander, sen Windows/Total Commander sen finns det väl en som heter Midnight Commander avsedd för Linux

Jag har några 8086or som står och skräpar, längesedan jag startade dem sist, man måste bla ge ett park-kommando för att parkera hårddisken.

Första 486an jag skaffade hade 130 MB hårddisk hehe.

Jag tyckte dock att Windows var lättare att skriva GUI program i än motsvarande i Solaris/XWindows, gamla Mac var dock värre eftersom manualerna jag minns var inga höjdare.

16 Bit Windows var dock knepigt eftersom det var en segmenterad adressering vilket kunde ställa till med en del trubbel

Japp.

Det enda som är unikt till maskinen är MAC-addressen.

Och jag finner det bortom otroligt att denna skulle kompileras in i en EXE fil, oavsett vilken kompilator som använts.